後續安裝最佳作法
適用于:Windows Azure Pack
安裝適用于 Windows Server 的 Windows Azure Pack 之後,請執行下列最佳做法。
以受信任的憑證取代未受信任、自我簽署的憑證
每個Windows Azure Pack 元件都會安裝在Internet Information Services (IIS) 網站上,預設會使用自我簽署憑證進行設定。 由於這些自我簽署憑證不是由您的瀏覽器在啟動時載入的任何受信任根憑證授權單位所發行,您的瀏覽器會在您嘗試連線至任何站台時顯示安全性警告。 為避免這種體驗,建議您使用 由 MgmtSvc-TenantSite (管理入口網站針對租使用者) 和 MgmtSvc-TenantPublicAPI 取代自我簽署憑證,以信任的根憑證授權單位所發行的憑證公開對應服務。 適用于系統管理員的 MgmtSvc-AdminSite (管理入口網站) 也可以受益于取代自我簽署憑證。
注意
根據預設,並非由使用者存取的服務 (例如,API 和資源提供者) 會忽略憑證驗證錯誤。 服務可透過 ServicePointManager.ServerCertificateValidationCallback 屬性來存取。 如果此動作有安全性考量,您可以使用可辨識之憑證授權單位核發的有效憑證來取代未受信任的自我簽署憑證,並且關閉驗證覆寫功能,或將此值設定為 false。
每個網站的 Web.config 檔案都有掌控此驗證覆寫功能的組態設定,內容如下所示:
針對系統管理員的管理入口網站,以及租使用者的管理入口網站, MgmtSvc-AdminSite 和 MgmtSvc-TenantSite:
<配置>
<appSettings>
<add key=「Microsoft.Azure.Portal.Configuration.AppManagementConfiguration.Rdfe2DisableCertificateValidation」 value=「false」 />
</appSettings>
</configuration>
適用於服務管理 API 網站 (MgmtSvc-AdminAPI、MgmtSvc-TenantAPI 和 MgmtSvc-TenantPublicAPI):
<配置>
<appSettings>
<add key=「DisableSslCertValidation」 value=「false」 />
</appSettings>
</configuration>
對於上述的每個索引鍵,預設值都是 true。 它會授與使用未受信任之憑證的權限,因此當此值設定為 false 時,表示不允許使用未受信任的憑證。
重要
<Web.config檔案的 /appSettings > 區段預設會加密。 若要修改 < Web.config檔案的 /appSettings > 區段,您必須解密檔案、套用變更,然後重新加密檔案。 若要將 Web.config 檔案解密然後重新加密,請在 Web.config 檔案所在的電腦上執行下列 Windows PowerShell 指令程式:
-
若要解密:Unprotect-MgmtSvcConfiguration –Namespace 命名空間 <>
-
若要重新加密:Protect-MgmtSvcConfiguration –Namespace 命名空間 <>
其中 < namespace > 是下列其中一項:
-
TenantPublicAPI
-
TenantAPI
-
AdminAPI
-
AdminSite
-
TenantSite